セキュリティ意識浸透の秘訣は“空気感”の形成 試行錯誤を経て獲得したサイゲームスらしいITリテラシーの高め方
「サイバーセキュリティエキスパート(以下、CSE)」は、サイゲームスの情報セキュリティを担当する部署です。スタッフが最高のコンテンツ作りに専念できる安心、安全な環境を提供するのが彼らの役目です。
とはいえ、CSEのメンバーだけで安全性を確保し続けることは難しく、社内スタッフ全員が力を合わせる必要があります。そこで彼らは、サイゲームススタッフの一人ひとりがITリテラシー意識を高められる取り組みを実施。どのようにして社内のITリテラシー向上を図ったか、CSE担当者たちを集めて話を聞きました。
- 情報システム本部 サイバーセキュリティエキスパートダイスケ
- 2017年に入社し、サイバーセキュリティエキスパートの部署を立ち上げる。同チームのマネージャーを務めたのち、2022年より情報システム本部本部長に就任。
- 情報システム本部 サイバーセキュリティエキスパートタカシ
- 2018年入社。前職ではシステムインテグレーション企業(以下、SIer)でセキュリティオペレーションセンターの立ち上げなどを担当。現在CSEのマネージャーを務める。
- 情報システム本部 サイバーセキュリティエキスパートタモツ
- SIerでセキュリティなどを担当したのち、2018年入社。CSEではエンジニアとしてアプリの脆弱性診断の調整、社内セキュリティ啓蒙活動などを担当。
- 情報システム本部 サイバーセキュリティエキスパートシンノスケ
- 前職はSIerでシステムのインフラ部分の設計構築を行うエンジニアを務めていた。2020年2月に第二新卒としてサイゲームスに入社し、初めてセキュリティに携わる。
最高のコンテンツを作るために
最適な情報セキュリティを追求する部署
サイバーセキュリティエキスパート(CSE)は社内のITリテラシーを底上げするために地道な活動をしてきたそうですね。まず何から始めたのでしょうか?
ダイスケ 最初に部署内で決めたのは、「スタッフが最高のコンテンツを安全に、安心して作ることができる環境を提供する」というミッションステートメントです。これは我々CSEの存在理由とも言うべきもので、情報セキュリティに関する一般的な考え方を「最高のコンテンツを作る」というサイゲームスのビジョンに合わせたものです。
タモツ 良いコンテンツを作るには、ものづくりに専念できる安心・安全な環境が必要です。その環境を実現するためには、情報セキュリティを確保する必要があり、そのために我々CSEがいるということですね。
タカシ そうです。業務としては、情報セキュリティの全体設計をし、安全性の確保のためのガイドラインを策定しています。その指針に基づき、外部からのサイバー攻撃への対応と、自社が提供するコンテンツが安全なものになっているかの検証などを行っています。
ミッションステートメントを設け、その指針に基づいて業務を開始したのですね。具体的にはどのような取り組みをしたのでしょうか?
タカシ 情報セキュリティは全スタッフに関係があることです。情報セキュリティに関する知識レベル(=ITリテラシー)が低いと、悪意がなくても他者の著作権を侵害したり、情報を漏えいさせてしまったりする可能性があります。
シンノスケ セキュリティは一番弱いところから破られるという「桶の理論」ですね。
ダイスケ そうです。また、情報セキュリティには「これとこれをやっておけば大丈夫」という「正解」はありません。だから試行錯誤をしながら、会社全体のセキュリティ意識を底上げする必要がありました。では、具体的に何をするかというところで、認証を取ろうとしたり、独自のセキュリティ監査の実施をしたり、個別研修の実施など色々な試みはしたのですが……。高い効果を得られるものは少なかったのです。
シンノスケ 私は部署の立ち上げ期には入社していなかったので詳しい経緯を知らないのですが、どのあたりが難しかったのですか?
タカシ 試してみたものの、当時の会社の状況とはマッチしなかった施策もありましたね。また、独自のセキュリティ監査や研修は実際にやってみて、一定の効果は感じられましたが、いずれも会社全体のITリテラシー向上の目標達成は難しいという結論に至りました。
ダイスケ 独自の監査については、監査自体に実効性はあっても、それをもって全社的なITリテラシーの向上には繋がりにくいのです。研修については、研修直後は意識が高まったように見えても、時間の経過とともに元に戻ってしまうということがわかってきました。これは研修がダメなのではなく、研修しかやらない方法には限界があるという話です。
タモツ だからと言って、情報セキュリティに関する厳格なルールを決めて、守らない部署や人に罰則を科せばいいかというと、それも違うわけですよね。そのタイプの運用をしてしまうと、CSE自体が忌避されるようになります。その結果、重要な情報が入ってこなくなってしまい、かえって重大な問題に繋がりかねません。それに、縛りをキツくすることはゲーム会社にとって命であるクリエイティビティーを損なってしまう恐れもあります。
ダイスケ 初期の試行錯誤の中で痛感したのが、「企業文化に合わない施策は浸透しない」「受け入れる状況ができていなければ、研修などを実施しても一時的な効果しかない」ということ。「サイゲームスにとって最適な情報セキュリティの在り方」を考える必要がありました。持続的な実効性のある施策を打つために、社内でも情報セキュリティの意識が高いチームにヒアリングすることにしました。
タカシ セキュリティ意識が高いチームにはどんな秘密があるのだろうと。同じ社内でも、チームや部署によってセキュリティ意識に濃淡があることがわかりました。
シンノスケ それで浮かび上がってきたのが「空気感」だったのですね。
情報セキュリティに関する意識を
定着させるための「空気感づくり」に取り組む
社内のITリテラシーを高めるためには、「空気感」がカギになると?
タカシ そうです。セキュリティ意識が高いチームは、マネージャーやキーパーソンたちのITリテラシーが高く、なおかつチーム全体でトラブルを防ぐ空気感が共有されていることがわかりました。それであれば、最初に取り組むべきは、情報セキュリティが自分たちにとって大事という「空気感」を醸成することであると考えたのです。
シンノスケ ヒアリングをして空気感づくりについて色々と検討した結果、やはり繰り返し情報セキュリティについて紹介して馴染んでもらうとともに、ITリテラシーの高い人を増やしていくことにしたのですよね。
ダイスケ そうです。社内にITリテラシー意識の高い人が増えれば増えるほど、その影響を受ける人も増えていき、リテラシーの底上げに繋がると考えたわけです。
情報に接する回数が増えるほどその情報に対して好印象を持つようになる、身近な人の思考や行動を無意識に取り入れるようになるという心理学的、脳科学的なアプローチも意識しています。
シンノスケ システムやルールも大事ですが、それを使う人たちが何を考えどう行動するかも大事ですよね。そうした試行錯誤を繰り返すことでより良い仕組みができてきています。
タカシ セキュリティ情報への接触頻度を高め、好印象を持ってもらうことが必須と考えましたので、定期的にCSEから情報を発信していくことにしました。SlackやConfluenceといった社内コミュニケーションツールで情報セキュリティに関する情報を出す、社内報にセキュリティに関する記事を載せてもらう、ポスターを作ってオフィスに掲示する、CSEのブログを作って情報を発信する、などに取り組んでいきました。
シンノスケ 朝のミーティングでマネージャーからセキュリティに関する話をしてもらったり、社内勉強会で発表の場を設けたりするのも大切ですね。
タモツ ここで重要なのは、内容よりも一定の頻度で情報を発信し続けることです。担当を分け、それぞれ週1程度での発信を維持することにしました。
施策の効果を最大限に高めるために、何か工夫したことがあれば教えてください。
ダイスケ マンネリ化しないよう伝え方を変化させるようにしました。先ほど挙げた例から、さまざまなチャンネル(手段)を使って情報を発信しているのがわかると思いますが、これは、伝える内容が同じでも、チャンネルを変えることでマンネリ化を防ぐ狙いがあるからです。
タカシ 明るく前向きな印象にするのも大事ですね。例えば、禁止事項を伝えるときでも、最後の一言で「いつもご協力ありがとうございます」とか「お陰で大きな事故もなく進められています」などと伝えると、ポジティブなイメージになります。ネガティブな言葉遣いばかりでは、発信すること自体がネガティブに捉えられかねないので、そこは気を付けています。
タモツ それから、情報発信の際に担当者を明記しておくことですね。連絡先として「○○委員会」などとしてしまうと、どこの誰が対応するのかわからず、不安を覚える人もいるかもしれません。だから、担当者名と所属部署を明記し、可能であれば顔写真なども一緒に付けるようにしました。
イメージといえば、CSEが運営するブログでは、親しみやすいイメージ作りも意識しました。
シンノスケ タモツさんが担当されている「にゃんともセキュリティな日々」ですね。あれはCSEのスタッフの代わりにネコを登場人物にしてセキュリティに関する情報を発信していますよね。スタッフからも親しみやすいという声を聞きます。
タモツ もともとブログはスタッフの顔出しでやっていたのですが「絵的に怖い」という指摘があって(笑)。
シンノスケ CSEのメンバーは発足当初は特にベテランの男性ばかりで、確かに部署外の人からするととっつきにくい面があったのかもしれませんね。実際は全然怖くない、優しい人たちばかりなんですけど(笑)。本人の代わりにスタッフが飼っているネコを登場させることで、柔らかいイメージになるし、興味を持ってもらいやすくなったと思います。「にゃんとも〜」はもう2年以上、30記事以上続いていますよね。
タモツ 内容は情報セキュリティをなるべく身近な問題と思ってもらえるように、SNSでの炎上やフィッシング詐欺などの話題も盛り込むようにしています。世間のニュースに触れて興味を持ってもらい、その後CSEとして伝えたいことを述べています。
シンノスケ 身近な話題から入るのは効果的ですよね。業務には直接関係ないことでも、セキュリティ意識を高める意味では効果はあると思います。
他に情報発信の際に心がけていることはありますか?
タモツ ブログ記事に限らず、誰にでも理解してもらえるようにわかりやすく伝えることを意識しています。
ダイスケ 個々の手法ももちろん大切ですが、セキュリティに関して「みんなで頑張ろう」と思ってもらうことが重要です。CSEが上から号令をかけるのではなく、サイゲームススタッフが「お互いに助け合ってセキュリティを高めていこう」と思ってもらうことを目標にしています。
タカシ そうですね。助け合っているという意識は重要です。だから何かを周知する際も、「○○してください」みたいに命令するような伝え方にしないようにしています。押し付けがましくないように、「ご協力ありがとうございます。よろしくお願いします」という感じでやっていますね。
シンノスケ あとは、各種の相談事については最後まできちんと丁寧に対応するようにしています。真摯に対応することで相手にも納得感が生まれますし、CSEを信頼してくれるようになります。我々を信頼してくれる人を1人でも増やすことが、情報セキュリティ意識の向上に繋がっていくと思います。
施策の結果、どのような手応えがありましたか?
タカシ 相談される回数が増えました。多くの部署との関係性が向上して、共同案件も増加しましたね。何かを導入したいとか、何らかの施策を打ちたいといったときに、セキュリティ面での議論の質が以前よりも上がったと思います。
タモツ こちらからのお願いも聞いてもらいやすくなりましたよね。例えば、セキュリティ対策としてスタッフが自分のパソコンのソフトウェアをバージョンアップしたり、パッチを当てたりする作業がしばしば発生しますが、実施スピード・実施率ともに大きく向上しました。
シンノスケ 確かに。セキュリティ対策ソフトや各種ツールを全社にインストールしてもらうよう周知することがありますが、サイゲームスのスタッフたちはみんな協力的で、実施が早いです。意識が低いままでは、何度もお願いのアナウンスをしたりフォローしたりといった作業が発生しますが、その手間が非常に少ない。結果として、セキュリティ上の事故が起こる可能性も低くなります。
互いに協力することでセキュリティを高める
サイゲームスらしいITリテラシー文化を醸成
取り組みを通じて感じたサイゲームスらしさ、エンタメ企業らしさはどんなところでしょうか?
シンノスケ 施策に取り組むにあたってプロジェクトマネージャーと連絡をとったり、システム導入に際して関連部署と連携したりするのですが、気さくな人が多い印象ですね。こちらの話をきちんと聞いてくれるし、スピード感があります。あとは、新しいシステムやサービスの導入に積極的な人が多いと感じます。
タモツ 社風として自由だなと思いますね。自由な中でお互いがお互いを尊重し合う、仕事がしやすい環境だと思います。だから、絶対に禁止なこと以外は、一定のセキュリティを確保した上で、なるべくやりたいことをやろう、やりやすいようにしようという方針で上手くいっているのだと思います。
タカシ サイゲームスはバックオフィスを含めた全スタッフを大切にする会社だと思います。みんながフラットな関係。だから、セキュリティを守るための厳しい物言いではなく、促すような伝え方できちんと伝わるし、それが会社の体質に合っているのだなと。
ダイスケ 我々はセキュリティを高めるのが仕事ですが、あくまでサイゲームスの事業を止めないことが前提です。自分たちの立場を説明する際にタカシさんがよく言っている言葉ですが、禁止したり取り締まったりする警察というよりは、予防や治療をする医師に近い。ゲーム会社のように創造性を大事にする会社では、そのようなやり方が特に望ましいのではないかと思います。
タカシ セキュリティ業界のカンファレンスなどでは、上から押さえ付けるやり方はもう通用しないという話はよく耳にします。サイゲームスでは、情報セキュリティ部門が他の部署と協調して動けているため、理想に近付けている気がしますね。
CSEとしてこれから注力、強化していきたいことはなんですか?
タカシ 効率化や自動化ですね。情報セキュリティは対応する分野が広く監視すべき内容が多岐にわたりますし、扱うデータ量も増えているので、人の手でチェックできる物理量を超えています。自動化できる部分は自動化して、本当に見るべきところに注力していく必要があります。
タモツ 自動化については私や他のメンバーが取り組んでいて、脆弱性情報やセキュリティニュースが公開されたら、社内で利用されているものを調べ、必要であれば周知するといった作業の自動化を進めています。
タカシ 情報セキュリティに関するガイドラインの更なる整備も進めています。相談されるケースが増えており、それぞれに最適な解決策を考えているのですが、毎回いちから考えているとお待たせしてしまうことになります。スピードを上げるために、これまでの事例やナレッジを整理してガイドラインを強化しているところです。
シンノスケ CSEのスタッフの教育についても改善したいです。バックボーンが異なる人も増えているので、自己研鑽や教育の場を提供して、スムーズなキャッチアップを促したいと考えています。
最後に、新しいエンターテインメントを情報セキュリティ面から支えるための、CSEとしての目標や展望を教えてください。
ダイスケ セキュリティは自社のことだけではなく、業界全体が強いほうが良いと感じています。自社のセキュリティ情報を明かすのはリスクでもあるので簡単にはいきませんが、業界内でセキュリティに関する「横の連携」を作れないかと思っています。業界全体へ貢献していくためにも、攻めのセキュリティに取り組んでいきたいです。
自社の情報セキュリティを高めるために、まず社内にセキュリティ意識を根付かせる「空気感」を形成するところから着手したサイバーセキュリティエキスパート。彼らの地道な取り組みが功を奏し、サイゲームスのITリテラシーは着実に向上しています。
現在サイゲームスでは、一緒に働く仲間を募集しています。ゲームやさまざまなエンターテインメント領域において、情報セキュリティの仕事に魅力を感じていただける方々のご応募をお待ちしています。
★あわせて読みたいセキュリティにまつわる記事
